如何建立及部署應用程式保護原則

發行項
01/06/2024

瞭解如何為組織使用者建立及指派 Microsoft Intune 應用程式保護原則 (應用程式) 。本文也說明如何對現有原則進行變更。

開始之前

應用程式防護原則可以套用至在裝置上執行且可能不受 Intune 管理的應用程式。如需應用程式保護原則運作方式以及 Intune 應用程式保護原則所支援案例的更詳細描述，請參閱應用程式防護原則概觀。

應用程式保護原則中可用的選項 (APP) 可讓組織根據其特定需求量身打造保護。對部分使用者而言，實作完整案例所需的原則設定可能不明顯。為了協助組織排定行動裝置用戶端端點強化的優先順序，Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。

APP 資料保護架構會組織成三個不同的設定層級，其中每個層級會根據上一個層級來建置:

企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密，並執行選擇性抹除作業。針對 Android 裝置，此層級會驗證 Android 裝置證明。這是一種進入層級設定，可在 Exchange Online 信箱原則中提供類似的資料保護控制，並將 IT 和使用者母體引入 APP。
企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。這是適用于大部分存取公司或學校資料之行動使用者的設定。
企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定，以及 APP 行動威脅防禦。此設定等級適用於存取高風險資料的使用者。

若要查看每個設定層級的特定建議，以及必須保護的最低應用程式，請檢閱使用應用程式防護原則的資料保護架構。

如果您要尋找已整合 Intune SDK 的應用程式清單，請參閱 Microsoft Intune 受保護的應用程式。

如需將組織的企業營運 (LOB) 應用程式新增至 Microsoft Intune 以準備應用程式保護原則的詳細資訊，請參閱將應用程式新增至 Microsoft Intune。

應用程式防護 iOS/iPadOS 和 Android 應用程式的原則

當您建立 iOS/iPadOS 和 Android 應用程式的應用程式保護原則時，您會遵循新式 Intune 程式流程，以產生新的應用程式保護原則。如需為 Windows 應用程式建立應用程式保護原則的相關信息，請參閱應用程式防護 Windows 的原則設定。

建立 iOS/iPadOS 或 Android 應用程式保護原則

登入 Microsoft Intune 系統管理中心。
選取 [應用程式]>[應用程式防護原則]。此選項會開啟 應用程式防護原則詳細數據，您可以在其中建立新原則並編輯現有原則。
選取[建立原則]，然後選取 [iOS/iPadOS]或[Android]。 [建立原則]窗格隨即顯示。
在 [ 基本] 頁面上，新增下列值：

值描述

名稱此應用程式保護原則的名稱。

描述 [選擇性]此應用程式保護原則的描述。

[平台]值是根據您在上方的選擇而設定。

值	描述
名稱	此應用程式保護原則的名稱。
描述	[選擇性]此應用程式保護原則的描述。

按 [下一步 ] 以顯示 [應用程式] 頁面。
[ 應用程式] 頁面可讓您選擇此原則應設為目標的應用程式。您必須新增至少一個應用程式。

值/選項	描述
目標原則為	在 [要設定目標原則] 下拉式方塊中，選擇將應用程式保護原則的目標設為 [所有應用程式]、[Microsoft Apps] 或 [核心 Microsoft Apps。所有應用程式都包含已整合 Intune SDK 的所有 Microsoft 和合作夥伴應用程式。 Microsoft Apps 包含已整合 Intune SDK 的所有 Microsoft 應用程式。核心 Microsoft Apps 包含下列應用程式：Microsoft Edge、Excel、Office、OneDrive、OneNote、Outlook、PowerPoint、SharePoint、Teams、To Do 和 Word。接下來，您可以選取 [檢視目標應用程式清單]，以檢視受此原則影響的應用程式清單。
公用應用程式	如果您不想要選取其中一個預先定義的應用程式群組，您可以在 [目標原則] 下拉式方塊中選取 [ 選取的應用程式 ]，選擇以個別應用程式為目標。按兩下 [選取公用應用程式 ] 以選取要設為目標的公用應用程式。
自訂應用程式	如果您不想要選取其中一個預先定義的應用程式群組，您可以在 [目標原則] 下拉式方塊中選取 [ 選取的應用程式 ]，選擇以個別應用程式為目標。按兩下 [選取自訂應用程式 ]，以根據套件組合識別碼選取要設為目標的自定義應用程式。以相同原則中的所有公用應用程式為目標時，您無法選擇自定義應用程式。

值/選項

描述

目標原則為

在 [要設定目標原則] 下拉式方塊中，選擇將應用程式保護原則的目標設為 [所有應用程式]、[Microsoft Apps] 或 [核心 Microsoft Apps。

所有應用程式 都包含已整合 Intune SDK 的所有 Microsoft 和合作夥伴應用程式。
Microsoft Apps 包含已整合 Intune SDK 的所有 Microsoft 應用程式。
核心 Microsoft Apps 包含下列應用程式：Microsoft Edge、Excel、Office、OneDrive、OneNote、Outlook、PowerPoint、SharePoint、Teams、To Do 和 Word。

接下來，您可以選 取 [檢視目標應用程式清單]， 以檢視受此原則影響的應用程式清單。

公用應用程式

如果您不想要選取其中一個預先定義的應用程式群組，您可以在 [目標原則] 下拉式方塊中選取 [ 選取的應用程式 ]，選擇以個別應用程式為目標。按兩下 [選取公用應用程式 ] 以選取要設為目標的公用應用程式。

自訂應用程式

如果您不想要選取其中一個預先定義的應用程式群組，您可以在 [目標原則] 下拉式方塊中選取 [ 選取的應用程式 ]，選擇以個別應用程式為目標。按兩下 [選取自訂應用程式 ]，以根據套件組合識別碼選取要設為目標的自定義應用程式。以相同原則中的所有公用應用程式為目標時，您無法選擇自定義應用程式。

您選取的應用程式 () 會出現在公用和自訂應用程式清單中。

注意事項

支援的公用應用程式是來自 Microsoft 的應用程式，以及常用於 Microsoft Intune 的合作夥伴。這些受 Intune 保護的應用程式會使用一組豐富的行動應用程式保護原則支持來啟用。如需詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。自定義應用程式是已與 Intune SDK 整合或由 Intune App Wrapping Tool 包裝的 LOB 應用程式。如需詳細資訊，請參閱 Microsoft Intune App SDK 概觀和準備應用程式保護原則的企業營運應用程式。

按 [下一步 ] 以顯示 [數據保護 ] 頁面。
此頁面提供資料外洩防護 (DLP) 控制項的設定，包括剪下、複製、貼上和另存新檔限制。這些設定決定使用者在套用此應用程式防護原則的應用程式中，如何與資料互動。

資料保護設定：
- iOS/iPadOS 資料保護 - 如需詳細資訊，請參閱 iOS/iPadOS 應用程式保護原則設定 - 資料保護。
- Android 數據保護 - 如需詳細資訊，請參閱 Android 應用程式保護原則設定 - 資料保護。
按 [下一步 ] 以顯示 [ 存取需求 ] 頁面。
此頁面提供的設定，可讓您設定使用者必須符合的 PIN 和認證需求，才能在工作環境中存取應用程式。

存取需求設定：
- iOS/iPadOS 存取需求 - 如需詳細資訊，請參閱 iOS/iPadOS 應用程式保護原則設定 - 存取需求。
- Android 存取需求 - 如需詳細資訊，請參閱 Android 應用程式保護原則設定 - 存取需求。
按 [下一步 ] 以顯示 [條件式啟動 ] 頁面。
此頁面提供的設定，可設定應用程式防護原則的登入安全性需求。選取[設定]，然後輸入使用者必須符合的[值]，才能登入您的公司應用程式。然後，選取您想要在使用者不符合您的需求時採取的動作。在某些情況下，單一設定可以設定多個動作。

條件式啟動設定：
- iOS/iPadOS 條件式啟動 - 如需詳細資訊，請參閱 iOS/iPadOS 應用程式保護原則設定 - 條件式啟動。
- Android 條件式啟動 - 如需詳細資訊，請參閱 Android 應用程式保護原則設定 - 條件式啟動。
按 [下一步 ] 以顯示 [ 指派] 頁面。
[ 指派] 頁面可讓您將應用程式保護原則指派給使用者群組。您必須將原則套用至一組使用者，原則才會生效。
按 [下一步：檢閱 + 建立] 以檢閱您為此應用程式保護原則輸入的值和設定。
當您完成時，按兩下 [ 建立] 以在 Intune 中建立應用程式保護原則。

提示

只有在工作內容中使用應用程式時，才會強制執行這些原則設定。當終端使用者使用應用程式來執行個人工作時，不會受到這些原則的影響。請注意，當您建立新檔案時，它會被視為個人檔案。

重要事項

應用程式保護原則可能需要一些時間才能套用至現有的裝置。套用應用程式保護原則時，終端使用者會在裝置上看到通知。套用連續存取規則之前，請先將您的應用程式保護原則套用至裝置。

終端使用者可以從 App Store 或 Google Play 下載應用程式。如需詳細資訊，請參閱：

變更現有原則

您可以編輯現有的原則，並將其套用至目標使用者。如需原則傳遞時間的詳細資訊，請參閱瞭解應用程式保護原則傳遞時間。

變更與原則相關聯的應用程式清單

在 [應用程式防護原則] 窗格中，選取您想要變更的原則。
在 [ Intune 應用程式保護 ] 窗格中，選取 [ 屬性]。
在標題為 [ 應用程式] 的區段旁，選取 [ 編輯]。

[ 應用程式] 頁面可讓您選擇此原則應設為目標的應用程式。您必須新增至少一個應用程式。

值/選項	描述
公用應用程式	在 [要設定目標原則] 下拉式方塊中，選擇將應用程式保護原則的目標設為 [所有公用應用程式]、[Microsoft Apps] 或 [核心 Microsoft Apps] 。接下來，您可以選取 [檢視目標應用程式清單]，以檢視受此原則影響的應用程式清單。如有需要，您可以按兩下 [ 選取公用應用程式]，選擇以個別應用程式為目標。
自訂應用程式	按兩下 [選取自訂應用程式 ]，以根據套件組合識別碼選取要設為目標的自定義應用程式。

值/選項

描述

公用應用程式

在 [要設定目標原則] 下拉式方塊中，選擇將應用程式保護原則的目標設為 [所有公用應用程式]、[Microsoft Apps] 或 [核心 Microsoft Apps] 。接下來，您可以選 取 [檢視目標應用程式清單]， 以檢視受此原則影響的應用程式清單。

如有需要，您可以按兩下 [ 選取公用應用程式]，選擇以個別應用程式為目標。

自訂應用程式

按兩下 [選取自訂應用程式 ]，以根據套件組合識別碼選取要設為目標的自定義應用程式。

您選取的應用程式 () 會出現在公用和自訂應用程式清單中。

按兩下 [檢閱 + 建立] 以檢閱為此原則選取的應用程式。
當您完成時，按兩下 [ 儲存 ] 以更新應用程式保護原則。

變更使用者群組清單

在 [應用程式防護原則] 窗格中，選取您想要變更的原則。
在 [ Intune 應用程式保護 ] 窗格中，選取 [ 屬性]。
在標題為 [ 指派] 的區段旁，選取 [ 編輯]。
若要將新的使用者群組新增至原則，請在 [ 包含 ] 索引卷標上選擇 [選取要包含的群組]，然後選取使用者群組。選擇 [選取 ] 以新增群組。
若要排除使用者群組，請在 [ 排除 ] 索引標籤上選擇 [ 選取要排除的群組]，然後選取使用者群組。選擇 [選取 ] 以移除使用者群組。
若要刪除先前新增的群組，請在 [ 包含 ] 或 [ 排除 ] 索引標籤上，選取省略號 (...) ]，然後選取 [ 刪除]。
按兩下 [檢閱 + 建立] 以檢閱為此原則選取的使用者群組。
當您對指派所做的變更準備就緒之後，請選取 [ 儲存 ] 以儲存設定，並將原則部署至新的使用者集合。如果您在儲存設定之前選取 [取消 ]，您將會捨棄對 [ 包含 ] 和 [ 排除 ] 索引標籤所做的所有變更。

變更原則設定

在 [應用程式防護原則] 窗格中，選取您想要變更的原則。
在 [ Intune 應用程式保護 ] 窗格中，選取 [ 屬性]。
在您要變更的設定對應的區段旁，選取 [ 編輯]。然後將設定變更為新的值。
按兩下 [檢閱 + 建立] 以檢閱此原則的更新設定。
選取 [ 儲存 ] 以儲存您的變更。重複此程式來選取設定區域並修改，然後儲存您的變更，直到所有變更都完成為止。然後，您可以關閉 [Intune 應用程式保護 - 屬性] 窗格。

以裝置管理狀態為基礎的目標應用程式保護原則

在許多組織中，通常會允許終端使用者使用 Intune 行動裝置裝置管理 (MDM) 受控裝置，例如公司擁有的裝置，以及僅受 Intune 應用程式保護原則保護的非受控裝置。非受控裝置通常稱為「攜帶您自己的裝置 (BYOD) 。

因為 Intune 應用程式保護原則是以使用者的身分識別為目標，所以使用者的保護設定可以套用至已註冊 (MDM 受控) 和未註冊的裝置， (沒有 MDM) 。因此，您可以使用篩選條件，將 Intune 應用程式保護原則的目標設為已註冊或取消註冊的 iOS/iPadOS 和 Android 裝置。如需建立篩選的詳細資訊，請參閱指派原則時使用篩選。您可以有一個非受控裝置的保護原則，其中有嚴格的數據外洩防護 (DLP) 控件，以及 MDM 受控裝置的個別保護原則，其中 DLP 控件可能會稍微寬鬆一點。如需如何在個人 Android Enterprise 裝置上運作的詳細資訊，請參閱應用程式防護原則和工作配置檔。

若要在指派原則時使用這些篩選，請流覽至 Intune 系統管理中心的 [應用程式>應用程式防護 原則]，然後選取 [建立原則]。您也可以編輯現有的應用程式保護原則。流覽至 [ 指派] 頁面，然後選取 [編輯篩選 ] 以包含或排除指派群組的篩選。

裝置管理類型

重要事項

Microsoft Intune 於 2024 年 8 月 30 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。在該日期之後，裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。如果您目前使用裝置系統管理員管理，建議您在支持結束之前，先切換至 Intune 中的另一個 Android 管理選項。如需詳細資訊，請參閱終止 GMS 裝置上的 Android 裝置系統管理員支援。

非受控：針對iOS/iPadOS裝置，非受控裝置是Intune MDM管理或第三方 MDM/EMM 解決方案不會傳遞 IntuneMAMUPN 密鑰的任何裝置。針對 Android 裝置，非受控裝置是尚未偵測到 Intune MDM 管理的裝置。這包括由第三方 MDM 廠商管理的裝置。
Intune 受控裝置：受控裝置由 Intune MDM 管理。
Android 裝置系統管理員：使用 Android 裝置管理 API 的 Intune 管理裝置。
Android Enterprise：使用 Android Enterprise Work Profiles 或 Android Enterprise 完整裝置管理的 Intune 管理裝置。
Android Enterprise 公司擁有的專用裝置，Microsoft Entra 共用裝置模式：使用具有共用裝置模式的 Android Enterprise 專用裝置進行 Intune 管理的裝置。
Android (AOSP) 使用者相關聯的裝置：使用 AOSP 使用者相關聯管理的 Intune 管理裝置。
Android (AOSP) 無使用者裝置：使用 AOSP 無使用者裝置的 Intune 管理裝置。這些裝置也會利用 Microsoft Entra 共用裝置模式。

在 Android 上，不論選擇哪一種裝置管理類型，Android 裝置都會提示您安裝 Intune 公司入口網站應用程式。例如，如果您選取 [Android Enterprise]，則仍會提示具有非受控 Android 裝置的使用者。

針對 iOS/iPadOS，若要將裝置管理類型強制執行至受 Intune 管理的裝置，則需要額外的應用程式組態設定。這些設定會與 APP 服務通訊，以管理特定應用程式，且不會套用應用程式設定：

必須為所有 MDM 受控應用程式設定 IntuneMAMUPN 和 IntuneMAMOID。如需詳細資訊，請參閱如何在 Microsoft Intune 中管理 iOS/iPadOS 應用程式之間的數據傳輸。
必須為所有第三方和企業營運 MDM 受控應用程式設定 IntuneMAMDeviceID。 IntuneMAMDeviceID 應該設定為裝置標識碼令牌。例如，key=IntuneMAMDeviceID, value={{deviceID}}。如需詳細資訊，請參閱為受控 iOS/iPadOS 裝置新增應用程式設定原則。
如果只設定 IntuneMAMDeviceID，Intune APP 會將裝置視為未受管理。

原則設定

若要查看 iOS/iPadOS 和 Android 原則設定的完整清單，請選取下列其中一個連結：

後續步驟

監視合規性和用戶狀態

另請參閱

哪裡可以找到Android的公司或學校應用程式 (使用者說明)

哪裡可以找到 iOS/iPadOS 的工作或學校應用程式 (使用者說明)